NIST débordé : le NVD modifie sa priorisation face à l'explosion des soumissions de vulnérabilités
Le **National Institute of Standards and Technology (NIST)** modifie son approche de gestion des vulnérabilités de cybersécurité au sein de la **National Vulnerability Database (NVD)**. Citant une augmentation exponentielle des soumissions de bugs, le NIST priorisera désormais les vulnérabilités en fonction de leur exploitabilité et de leur criticité, laissant potentiellement un arriéré de CVE non analysées.
## Le NIST annonce des changements dans son système de suivi des vulnérabilités
Le **NIST** a annoncé des changements significatifs dans la manière dont il suit les vulnérabilités de cybersécurité, reconnaissant que le nombre de soumissions de bugs augmente à un rythme insoutenable. Ce changement aura un impact sur la façon dont les vulnérabilités sont catégorisées et enrichies au sein du **NVD**, largement utilisé.
L'agence concentrera désormais ses ressources sur les vulnérabilités qui répondent à des critères spécifiques, marquant une rupture avec sa mission précédente de catégoriser chaque **CVE** (Common Vulnerabilities and Exposures). Cette décision intervient alors que l'agence peine à suivre le volume croissant des soumissions. Selon un communiqué publié par le **NIST**, les soumissions au cours des trois premiers mois de 2026 sont près d'un tiers plus élevées que la même période l'année dernière, malgré une augmentation de 45 % de l'enrichissement des CVE en 2025.
## Critères de priorisation
Dans le cadre de la nouvelle politique, le **NIST** n'enrichira que les enregistrements **CVE** qui répondent à certains seuils. Plus précisément, l'enrichissement sera priorisé pour :
* Les **CVE** figurant dans le catalogue des vulnérabilités connues et exploitées de la **Cybersecurity and Infrastructure Security Agency (CISA)**.
* Les **CVE** affectant les produits utilisés par le gouvernement fédéral.
* Les **CVE** impactant des logiciels jugés "critiques".
Le **NIST** vise à enrichir les vulnérabilités du catalogue **CISA** dans un délai d'un jour suivant la notification. Les **CVE** qui ne répondent pas à ces critères seront toujours répertoriées mais ne recevront pas d'analyse supplémentaire ni de score de sévérité de la part du **NIST**.
## Le problème de l'arriéré
Le **NIST** a reconnu un arriéré existant de **CVE** qu'il n'a pas pu traiter en raison de contraintes de ressources. Ces entrées en attente, antérieures au 1er mars 2026, seront déplacées dans une catégorie "Non planifié" et ne seront priorisées que si elles répondent aux nouveaux critères.
Le **NIST** s'appuiera également davantage sur les scores de sévérité fournis par les soumissionnaires, plutôt que de générer ses propres scores pour toutes les **CVE**. Tout en reconnaissant que les changements "peuvent ne pas capturer toutes les **CVE** potentiellement à fort impact", le **NIST** maintient que cette approche basée sur les risques est nécessaire pour garantir la durabilité et la fiabilité de la base de données.
## Réaction de l'industrie
Des experts comme Trey Ford de **Bugcrowd** suggèrent que les changements du **NIST** reflètent une compréhension plus large au sein de la communauté de recherche : la centralisation du triage des vulnérabilités à cette échelle est insoutenable. Ford a souligné que l'exploitabilité réelle, déterminée par des chercheurs humains, est le véritable moteur de la priorité de remédiation.
<a href="https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record" rel="noopener noreferrer">En savoir plus.</a>
[](https://www.recordedfuture.com/?utm_source=therecord&utm_medium=ad)
